Заметки о восстановлении данных на жестких дисках
         

Физические разрушения


Жесткие диски – чрезвычайно надежные устройства, самостоятельно следящие за своим здоровьем и автоматически переназначающие подозрительные сектора задолго до их полного разрушения. При бережном обращении и соблюдении всех рекомендаций производителя, шансы столкнуться с физическим разрушением информации ничтожно малы – порядка ~0,1% – 1% в зависимости от качества изготовления конкретного экземпляра. Разумеется, при нынешних масштабах производства ни одному брэнду не удалось избежать проклов. Так, например, субподрядчик Fujitsu – копания Cirrus Logic – однажды изменила химический состав подложки микросхем, в результате чего те стали впитывать влагу, через короткое время выводящую электронику из строя. Винчестеры от Samsung славятся своей чувствительностью к статическому электричеству, приводящему к "прострелу" микросхем кэш-памяти, после чего на диск пишется сплошной мусор, необратимо гробящий служебные структуры файловой системы без надежд на ее восстановление.

При отказе электроники плату обычно не ремонтируют, а заменяют всю ее целиком, приобретая "донора" такой же точно модели. При этом следует учитывать, что некоторые производители заносят калибровочные данные в микросхему ROM-памяти, которую следует аккуратно выпаять из неработающей платы и ввести в "донора". Если этого не сделать, то данные либо вообще не будут читаться, либо при первом же запуске винчестера окажутся необратимо испорченными.

Рисунок 2 пересадка микросхему постоянной памяти

Никогда и ни при каких обстоятельствах не вскрывайте крышку гермоблока! Делать это можно только в особо чистой атмосфере специальной комнаты. Единственная пылинка, попавшая под головку винчестера может стоит им обоим жизни. Кстати о головках. Среди обывателей ходит совершенно нелепая легенда, что они "залипают" и чтобы их "разлепить" следует аккуратно стукнуть по винчестеру рессорой от трактора "Беларусь" или резко крутануть его в вокруг своей оси, неизбежно выронив из рук и уронив на снующего между ног кота Мурзика. Бред! Когда пластины винчестера начинают вращаться, залипшие головки выдираются с мясом и "разлепять" там особо уже и нечего (если они действительно "залипали"). Подшипники (особенно с гидродинамические) действительно, нередко заклинивают да так, что вал не провернешь даже пассатижами. Какие уж тут вращения в горизонтальном направлении…


Впрочем, до тотальных отказов дело обычно не доходит и все ограничиваются сбойными секторами. Обнаружив такие, ни в коем случае не пытайтесь запускать диагностические утилиты, включая и утилиты от самого производителя винчестера. По непонятной причине практически все они, встретив сбойный сектор, мучают его до победного конца, неизбежно распростирая зону воздействия дефекта как вглубь, так и в ширь или, что еще хуже, уродуя магнитную головку, цепляющуюся за неровности дефективной зоны. Каждый винчестер имеет специальный настроечный регистр, который помимо всего прочего задает и количество повторов чтения, если с первой попытки сектор прочитать не удалось. Установите его либо в ноль (не делать повторов), либо в единицу, если ноль закреплен за значением "количество повторов по умолчанию" (как обстоят дела в конкретно взятом случае поможет установить техническая документация, скаченная с сайта производителя). Длинное чтение секторов (long read) возвращает весь сектор целиком – пользовательские данные вместе с корректирующими кодами. Различные модели жестких дисков имеют свои особенности реализации данной команды, которые, к сожалению, не всегда становятся документированными и требуемую информацию приходится по крупицам собирать в Интернете (как вариант – можно дизассемблировать прошивку, но это требует достаточно высокой квалификации).

Чаще всего сектор разрушается не весь целиком, а искажает пару десятков байт, расположенных наиболее неблагоприятным для корректирующих кодов образом. Согласитесь, что часть сектора это намного лучше, чем совсем ничего.



Рисунок 3 диск "протертый" знаменитой утилитой Tiramisu


Как избежать катастрофы?


От разрушения данных не застрахован никто, но при правильной политике резервирования вся процедура восстановления сводится к замене негодного винчестера на новый и переписыванию данных с архивного накопителя. Восстанавливать данные на старый диск даже при логических разрушениях категорически недопустимо, т. к. если в процессе копирования выяснится, что резервный носитель испорчен, вам придется делать харакири, поскольку вы только что лишились и оригинала, и копии.

Если же резервной копии нет или она устарела, немедленно бросьте все текущие дела и займитесь ее созданием! Ох, и зачем это я говорю? Ведь все равно не займетесь же… Тогда по крайней мере регулярно дефрагментируйте винчестер – нефраментированные файлы восстанавливаются не в пример легче.

Кстати говоря, из всех разделов чаще всего гибнет первый (т.е. диск С:), не держите на нем ничего ценного. Диск, разумеется, должен быть разбит. Но если вы не разбили его перед установкой операционной системе не пытайтесь переразбивать его сейчас, т. к. риск потерять все данные при этом очень велик!

Внимательно следите за показаниями системы мониторинга S.M.A.R.T., которые умеют считывать многочисленные утилиты (например, AIDA). Стремительный рост количества замещенных секторов (Reallocated Sector Count) не предвещает ничего хорошего и диск в срочном порядке рекомендуется заменить. При этом следует учитывать именно градиент, а не абсолютное значение! Увеличение количества ошибок сырого чтения (raw read error rate) указывает на серьезные проблемы и от такого диска лучше поскорее избавится, скопировав все данные на другой. Рост численности ошибок позиционирования (Seek error rate) и в особенности повторных раскруток шпинделя (Spin Retry Count) говорит о растущих разногласиях механической части, обычно заканчивающихся поломкой, а вот увеличение времени раскрутки шпинделя (Spin Up Time) явление вполне нормальное, обусловленное конструктивными особенностями некоторых жестких дисков и до тех пор, пока оно не достигнет порогового значения, никаких поводов для волнений нет.


Ошибки передачи по ATA-интерфейсу ( Ultra ATA CRC Error Rate) очень коварны и если они выйдут за пределы корректирующей способности избыточных кодов, файловой системе придет каюк. Проверьте – не перекручен ли интерфейсный кабель и при необходимости укоротите его.

Внимательно следите за температурой, не допуская перегрева винчестера. Предельно допустимую температуру можно узнать из спецификации. Большинство современных винчестеров нормально выдерживают температуру окружающей среды до 50°С – 60°С (не путайте ее с показаниями встроенного термодатчика), не требуя дополнительного охлаждения.





Рисунок 5 показания S.M.A.R.T, считанные утилитой AIDA

Не разгоняйте процессор, PCI-шину и оперативную память! Все это может привести к необратимому разрушению служебных структур файловой системы, затраты на восстановление которой скушают весь выигрыш от разгона. Кстати говоря, на винчестерах с кэш-памятью в 8 Мб старые версии Windows, вплоть до Windows XP, чувствуют себя очень плохо, зачастую приводя к серьезной порче винчестера, т. к. при выходе из системы вырубают питание винчестера еще до того, как он успевает сбросить кэш. Проблема решается либо переходом на XP (боже мой, что это за х…), либо установкой соответствующего пакета обновления. А вообще говоря, винчестеры с большим кэшем лучше не приобретать, по слухам они недостаточно надежны и имеют много нерешенных инженерных проблем.

Не используйте штатного шифрования файлов и динамических томов – все они хранят служебную информацию в реестре операционной системе и после ее краха становятся недоступными. Так же никогда не запускайте программ, в которых не уверены, и уж тем более не предоставляйте им права администратора! Всегда используйте минимум необходимых для работы прав, входя под администратором лишь при необходимости. Запрещайте модификацию всех файлов, которые не собирайтесь модифицировать в ближайшее время, отобрав этот атрибут у всех пользователей, под которыми вы обычно регистрируетесь в системе.

Следуя всем выше перечисленным советам, вы многократно снижаете риск необратимой потери данных и значительно упрощаете процедуру их восстановления в случае если они все-таки будут разрушены.


Логические разрушения


Когда винчестеры с NTFS на борту бороздят дисковое пространство, говорить об остальных файловых системах (типа FAT16/32 или HPFS) становится просто не этично (о покойниках плохо не говорят– HPFS давно труп, а FAT, хоть и не труп, но уже дышит на ладан). Поэтому, сосредоточим свое внимание исключительно на NTFS. Это очень надежна система и "уронить" ее можно только вместе со всем системным блоком, а для уничтожения данных потребуется тротил или нитроглицерин. Однако, абсолютной защиты не существует и катастрофы различной степени тяжести все-таки случаются…

В отличии от FAT, анатомия NTFS недокументированна, а это значит, что восстанавливать служебные структуры данных придется вслепую, опираясь на информацию, полученную из независимых хакерских источников, как-то исходных текстов NTFS-драйверов, выдернутых из LINUX, дизассемблерных листингов NTFS-утилит от Марка Руссиновича и т. д. Но все эти способы ненадежны и NTFS-драйвера от сторонних производителей плохо совместимы с новыми операционными системами, в особенности с их локализованными версиями. К сожалению, никакой альтернативы не существует.

Для восстановления винчестера, содержащего один или несколько NTFS-разделов, подключите его "вторым" к компьютеру, на котором уже установлена Windows NT/2000/XP, на которой установлено все необходимое программное обеспечение. Так же вам потребуется и консолью восстановления. Чтобы до нее добраться вставьте дистрибутивный диск в CD-привод и сделайте вид, что хотите установить операционную систему, но на определенном этапе установки, когда инсталлятор спросит "чего тебе надобно, старче", нажмите <R> выбирая Recovery Console.

Консоль восстановления представляет собой разновидность командного shell'а с кучей полезных утилит на борту и выглядит приблизительно также, как и старый добрый command.com. По умолчанию, вы имеете доступ только к папкам WINNT и Program Files, а чтобы скопировать данные из других папок (при условии, что файловая система еще цела) необходимо заблаговременно в "Локальных параметрах безопасности" (папка Администрирование в Панели Управления) найти пункт "Консоль восстановления: разрешить копирование дискет и доступ ко всем папкам" и перевести рубильник во включенное состояние. Как вариант можно, не покидая консоль восстановления, отдать команду "SET AllowAllPaths = true" для разблокирования доступа ко всем каталогам и "SET AllowRemovableMedia = true" для снятия запрета копирования файлов на гибкий диск.


Непосредственно из консоли восстановления можно запустить chkdsk логический диск. Ключ "/p" означает более глубокую проверку с внесением всех изменений, а ключ /r – поиск и восстановление дефективных секторов. Пользоваться chkdsk'ом категорически не рекомендуется, но… если никакой других идей у вас нет, на худой конец сойдет и он.

Если ни один логический диск недоступен (команда "С:" выдает ошибку, а chkdsk говорит, что такого тома просто нет), скорее всего повреждена таблица разделов (partition table), находящаяся в главном загрузочном секторе (Master Boot Record

или сокращенно MBR). Ее восстановлением занимаются десятки утилит (например, Media RECORVER http://www.mediarecover.com/advanced-file-recovery.html), но при желании эту операцию можно осуществить и самостоятельно (см. врезку "техника восстановления MBR-сектора"). Консоль восстановления поддерживает команду FIXMBR физический диск (физический диск задается в формате \Device\HardDiskN, где N – номер винчестера, считая от нуля), которая, если верить названию, должна лечить MBR, но на самом деле она всего лишь записывает туда системный загрузчик, оставляя таблицу разделов в том состоянии в котором она была. Восстановление системного загрузчика требуется в тех случаях, когда BIOS не может обнаружить загрузочный диск, выдавая сообщение "not-system disk" или что-то в этом роде. Соответственно, команда FIXBOOT (без параметров), "лечит" основной загрузочный раздел, а точнее записывает в его начало стандартный boot-загрузчик. Воспользуйтесь ей, если операционная система не загружается, а на экране появляется надпись наподобие "missing operation system".

Если корневой каталог не отображается или содержит бессвязный мусор, то случилось самое страшное, что только могло произойти – навернулась главная файловая таблица (Master File Table или сокращенно MFT), описывающая размещение файлов на диске. Вообще говоря такое случается крайне редко. Благодаря поддержке механизма транзакций, Windows автоматически выполняет откат, если операция обновления файловой системы завершилось неуспешно. Однако, когда NTFS-драйвер едет крышей (например, из-за конфликтов с другими драйверами или нарушения целостности кэш-буфера), транзакции уже не спасают и дисковая структура гробится. Первые 4 записи таблицы MFT хранятся в специальном резервном файле, на который указывает поле "Cluster to MFT mirr" и могут быть элементарно восстановлены. А как быть со всеми остальными? Ведь при современных-то объемах жестких дисках и астрономических количествах файлов, число записей в MFT оказывается намного больше 4х! Увы! Искаженные записи утеряны безвозвратно и их уже не вернуть! Если диск не был обработан "врачевателями" типа chkdsk или NDD, что расшифровывается как Norton Dist Destroyer, то шансы на ручное восстановление информации достаточно велики, однако, даже поверхностное изложение методик восстановление требует сотен страниц убористого текста к концу которых читатель начинает откровенно скучать. Единственная утилита, которой я доверяю – это Crash Undo 2000, вытягивающая максимум информации, который только можно вытащить из уцелевших осколков и практически не уступающая ручному восстановлению. Однако, никаких гарантий, что после лечения диску не сделается еще хуже у вас нет. Не очень-то утешительное заключение, но зато откровенное.



Рисунок 4 Media RECORVER за работой


Разгребая обломки…


Если ваш винчестер издает странные звуки, операционная система не загружается или на одном или нескольких логических дисках образовалась каша, самое лучше что вы можете сделать– это немедленно отключить компьютер и передать его в руки профессионалов. Пытаясь "отремонтировать" данные самостоятельно вы идете на огромный и ничем не оправданный риск, особенно если осуществляете восстановление не вручную, а доверяете это дело различными автоматизированным утилитам, слепо веря в их интеллектуальность.

С другой стороны, многие "специалисты" используют те же самые утилиты, что и вы, поэтому отдавать винчестер им на растерзание по меньшей мере неразумно. К потерянным данным добавятся еще и потерянные деньги. Жители крупных городов (Москвы, Ростова, Киева) практически всегда могут найти фирму, специализирующуюся на восстановлении данных и съевшую на этом не одну собаку. Восстановитель должен располагать особо чистой комнатой, прецизионным оборудованием для смены головок, не падать в обморок от вопросов что такое MFT и чем оно отличается от $MFT… К таковым в частности относятся фирмы EPOC (http://www.epos.kiev.ua/) и DATA Recovery

(http://www.datarecovery.ru/index.html). Здесь работают специалисты которым можно доверять! (И это не реклама, а констатация факта).

В глубинке дела обстоят значительно хуже. Массового рынка восстановления нет, отказы носят единичный характер, а следовательно нет и фирм, выбравшим восстановление данных основным направлением своей деятельности. Повсюду процветают кустари и Левши-умельцы, среди которых, несомненно встречаются и подлинные мастера своего дела, но откровенных ламеров, выдающих себя за профессионалов, намного больше. Но вместо того, чтобы жаловаться на судьбу, завистливо поглядывая на Москвичей, дышащих такой гадостью от которой и верблюда блевать тянет,  начинает блевать, попробуйте обратится к патриархам отечественного восстановления данных, через могущественную сеть Интернет. Например, вот: http://www.datarecovery.ru/rds.htm.[n2k1] 


Технологий удаленного восстановления собственного говоря всего две: в первом случае вам по электронной почте сбрасывают утилиту, формирующую загрузочную дискету с автономным терминалом (разновидность telnet). Загружаетесь с нее, вы входите в Интернет и передаете удаленному оператору все права по управлению вашей машиной. Главный минус этого подхода состоит в том в том, что на продолжении всей процедуры восстановления вы вынуждены "висеть" в Интернете, наблюдая за тем, как оператор будет принимать/передавать данные, попутно пытаясь вернуть эту байтовую мешанину в исходный вид. А ведь пропускная способность модемных соединений мягко выражаясь очень невелика! И хотя восстанавливаемые данные оператору непосредственно не передаются, и обрабатываются локально, объем циркулирующей информации зачастую приобретает угрожающий вид. Поэтому, на практике обычно используется другой подход и роль терминального сервера выполняет не компьютер, а не посредственно сам пострадавший пользователь. Оператор пересылает программу, формирующую диагностическую дискету, которая анализирует ситуацию и генерирует отчет, который необходимо возвратить оператору. Затем, вам присылается либо полностью автоматизированная лечилка, либо еще одна диагностическая программа. В отсутствии Интернета передачу данных можно осуществить по почте или прямому модемному соединению.

Разумеется, в обоих случаях речь идет только о логическом восстановлении разрушенных данных. Отремонтировать физически навернувшийся винчестер через Интернет нереально. Однако, логические разрушения встречаются гораздо чаще физических, поэтому удаленное лечение цветет и расширяется.



Рисунок 1 восстановление данных через Интернет

Если же, несмотря на все доводы и убеждения, вы все-таки наменяны восстанавливать жесткий диск самостоятельно, позвольте дать вам несколько советов для начала:

q       никогда пользуетесь неисправными винчестерами! если электрическая и/или механическая части жесткого диска вызывают у вас хотя бы тень сомнения, не пытайтесь восстанавливать данные, пока полностью не отремонтируетесь!

q       никогда не записывайте на восстанавливаемый диск никаких утилит, не пытайтесь загрузить с него Windows и уже тем более не запускайте chkdsk и дефрагментатор!

q       не пытайтесь читать bad-сектора больше двух-трех раз на каждый непрерывный дефективный блок, до тех пор пока не будут прочитаны и сохранены все "здоровые" сектора!

q       занимайтесь восстановлением только в трезвом уме и здравой памяти, переждав пока шоковое состояния от пережитого разрушения пройдет!


Сводная таблица дефектов и методов их устранения


симптом

диагноз

лекарство

операционная система не загружается, BIOS выдает надпись "non system disk", missing operation system или что-то в этом роде

при загрузки с дискеты логические диски не видны (команда C: дает ошибку)

слетел загрузчик, повреждена таблица разделов

восстановите MBR по методике, описанной в одноименной врезке

логические разделы видны и исправны (команды C: и dir C: работают)

слетел boot и/или MBR загрузчик

запустите консоль восстановления и дайте команды FIXBMR и FIXBOOT

логические разделы видны, но команда dir C: дает ошибку

поврежден boot-сектор или MTF

попробуйте восстановить boot-сектор по методике, описанной в одноименной врезке, а если это не поможет, запустите CrashUndo 2000

операционная система начинает закружатся, но затем виснет или прерывается с сообщением об ошибке

команда dir C: выполняется нормально, chkdsk не находит ошибок

навернулась сама операционная система

переустановите операционную систему, предварительно скопировав все ценные файлы на другой носитель

команда dir в одном или нескольких подкаталогах выводит мусор или показывает не все файлы

повреждена MTF или одна из ее дочерних структур

запустите CrashUndo 2000

некоторые файлы не читаются, при этом винчестер издает ритмичные скребущие звуи

физические повреждения поверхности диска

запустите EasyRecovery

некоторые файлы содержат в себе фрагменты других файлов

на диске образовались пересекающиеся кластеры

запустите chkdsk

свободное место на диске планомерно уменьшается без видимых причин

некоторые кластеры оказались потерянными

запустите chkdsk

 [n2k1] редактору: эта и две выше упомянутые ссылки приведены просто так. если политика журнала не приветствует такую формулу "рекламы" (хотя это и не реклама), то на их сохранении я не настаиваю. хотите – удаляйте. мое дело привести, чтобы потом меня же редакция не обвинила в голословности изложения.



>>> Врезка дыры в безопасности


Считается, что операционные системы семейства WindowsNT надежно защищают данные от разрушения. Во-первых, они блокируют прямой доступ к аппаратуре, во-вторых, обеспечивают возможность разграничения доступа, которую по уверениям Microsoft еще никто до сих пор не обошел. Во всяком случае – универсально.

Ха! Ща мы ее… У вас установлен пишущий CD? А пишущие программы е? А работают они случайно не через ASPI? А вы знаете, что драйвер ASPI позволяет любому приложению независимо от уровня его полномочий работать со всеми IDE/SCSI устройствами на низком уровне, в частности стирая все сектора на хрен? Ладно, удалите вы этот ASPI, но тогда останется SPTI, намертво вживленный в операционную систему, и позволяющий делать все тоже самое, что и ASPI, пускай и требующий наличия прав администратора. Думаете злоумышленнику их будет трудно получить? Вы жестоко ошибаетесь! Чтение физического диска на сектором уровне по умолчанию доступно всем пользователям без исключения (и его не так-то просто запретить), а на этот уровне не существует понятия "привилегий" и файлы с конфиденциальной информацией (включая информацию по аутентификации) доступны всем пользователям без разбора (строго говоря, никаких "файлов" на сектором уровне не существует, но для хакеров это не преграда).

Что же касается драйверов… их полномочия ничем не ограничены и они могут делать с системой все что угодно. Нередко драйвера содержат критические ошибки, пускающие Windows в разнос и превращающие файловую систему в манную кашу. Особенно этим грешат драйвера от кустарных разработчиков, наплевательски относящихся к культуре программирования. Можно запретить приложению устанавливать свои драйвера в системе? Ну в общем-то можно (установите его с правами простого пользователя), но что это нам даст? Без драйвера приложение работать не будет, а достойную альтернативу ему удается найти не всегда… А вы говорите секьютети, понимаешь там, безопасность…



>>> Врезка техника восстановления BOOT-сектора


В зависимости от версии операционной системы копия boot-сектора хранится либо в середине, либо в конце раздела. Для ее поиска воспользуйтесь функций "Search Sector" в меню Tools, заполнив все поля диалогового окна как на рис.7, первый же найденный сектор (при условии, что он не выходит за пределы логического диска) и будет искомой резервной копией.

Запишите сектор на диск (File à Save as), а затем вернувшись в разрушенному boot-сектору (Sector à Read àSector:0, View à Partition Table, Relative Sector: GO), считайте только что сохраненный сектор с диска (File à Open File). Сохраните изменения на диск (Sector à Write).

Теперь войдите в консоль восстановления и дайте команду FIXBOOT для записи boot-загрузчика. Перезагрузитесь… Если все было сделало правильно, диск заработает как миленький. Ну а на нет и суда нет.

Рисунок 8 резервная копия boot-сектора



>>> Врезка техника восстановления MBR-сектора


MBR сектор содержит системный загрузчик и таблицу разделов. Системный загрузчик восстанавливается командой FIXMBR из консоли восстановления или программой FDISK, запущенной с ключом MBR. Восстановить таблицу разделов намного сложнее, особенно если винчестер был разбит на несколько логических дисков. Впрочем, глаза страшатся, а руки делают, так что не будем паниковать.

Используя Disk Probe от Microsoft или Disk Editor

от Symantec, забейте нулевой сектор физического диска нулями, чтобы избавиться от мусора который может помешать нормальному восстановлению. Для этого в меню "Drives" выбираем "Physical Drive", там дважды щелкните по "Physical Drive 0" (или другому загрузочному устройству), снимете галочку "Read Only" и скажите "Set Active". Затем нажмите "OK", для возвращения в основное окно программы, и перейдите в меню "Sectors". Выбрав команду "Read", в поле "Start Sectors" введите "0" скажите "ОК" еще раз. Для представления информации в более наглядном виде в меню "View" можно выбрать пункт "Partition table".

Если диск не был разбит и содержит всего один логический раздел, для его восстановления все поля следует заполнить следующим образом: "Boot Indicator" – в SYSTEM, "System ID" – в NTFS, Starting Head/Sector/Cylinder – в 1/1/0, а Ending Head/Sector/Cylinder – на последнюю головку/сектор/цилиндр вашего жесткого диска соответственно (параметры диска можно узнать в BIOS). Total Sectors – содержит полное количество секторов, а Relative Sector вычисляется по следующей формуле: (Cylinder number * Sectors per Track * Heads) + (Head number * Sectors per Track) + (Sector Number -1), что соответствует адресу 0/0/1. (Значения Sector per Track и Sector per Track можно узнать из диалогового ока "Disk Information", вызываемого через меню "Drives"). После сохранения внесенных изменений, перезагрузитесь и, войдя в консоль восстановления, отдайте команду FIXMBR для записи системного загрузчика.


После повторной перезагрузки в ваш винчестер будет вдохнута новая жизнь. Или… не будет вдохнута.



Рисунок 6 восстановление таблицы разделов

Разбитые диски одолеть значительно сложнее. Как минимум необходимо определить границы первичного раздела и реконструировать ссылку на расширенный раздел. Это можно сделать как автоматически (например, утилитой DiskEditor от PhysTechSoft, не путать с Disk Editor от Symantec), так и вручную. Будем отталкиваться от того факта, что в начале каждого раздела расположен boot-сектор. Предположим, что он не затерт, тогда начало следующего раздела можно идентифицировать по его имени (например, "NTFS"), находящемуся по смещению 3 относительно начала сектора. В меню "Tools" выбираем "Search Sectors" и заполняем поля появившегося диалогового окна в соответствии с приведенным рисунком, подставляя вместо "Last sector to search" размер вашего винчестера в секторах.



Рисунок 7 поиск следующего раздела

После достаточного продолжительного шуршания диском, когда наконец требуемый сектор будет найден, переключитесь в режим "NTFS Bootsector", убедившись в правдоподобности всех полей и в том, что это не зеркальная копия boot-сектора основного раздела. Если все поля правдоподобны и не совпадают с полями основного boot-сектора, отнимите от него удвоенное значение "Sector per Track" (это можно узнать в Drivers à Volume Information) и уменьшите его еще на единицу. В результате вы получите размер первого раздела в секторах. Занесите его в "Total Sectors", а затем заполните поля Ending Head/Sector/Cylinder, вычисляя их на основе Total Sectors с одной стороны и значений Sector per Track, Track per Cylinder с другой.

Теперь переместите "Partition Table Index" на Partition 2, "System ID" на Extended (или Extended LBA если требуется включение поддержки больших дисков), в поле Relative Sector занесите сектор с найденным boot'ом увеличив его на единицу, а так же заполните поля Staring Head/Sector/Cylinder, вычисляя их на основе Relative Sector за вычетом значения Sector per Track (вспомните вышеприведенную формулу!). При стандартной разбивке поля Ending Head/Sector/Cylinder указывают на конец диска и заполняются элементарно.

После перезагрузки войдите в консоль восстановления и дайте команду FIXMBR. Перезагрузитесь еще раз. Все потерянные логические разделы должны появится вновь. Если же этого не произошло… Что ж! Тогда обращайтесь за помощью к настоящим профессионалам!


>>> Врезка утилиты, рекомендованные для восстановления


EasyRecovery – крайне простая, но довольно мощная утилита для восстановления разрушенной загрузочных секторов и искореженной файловой системы. Поддерживает FAT12, FAT16, FAT32 и NTFS. Доступна демонстрационная версия.

CrashUndo 2000 – утилита отечественного производства. Пожалуй, самый мощный восстановитель под NTFS из всех, что мне доводилось видеть. Работает даже с теми дисками, которые Windows наотрез отказывается монтировать. Использует минимум системной информации, реконструируя ссылочные структуры по их сигнатурам и восстанавливает файлы даже при значительных повреждениях MFT. Реконструирует дерево каталогов даже если одно или несколько ветвей, несущих материнские каталоги, оказываются разрушенными.

AnalizHD/DoctorHD – еще две отечественные разработки. Предназначены для удаленного восстановления данных по Интернету в том случае, если поблизости от вас нет ни одной мало-мальски серьезной фирмы, специализирующейся на лечении HDD.

EraseUndo for NTFS – восстанавливает удаленные файлы, которые еще не были физически затерты на диске.



T поддерживают целый комплекс защитных


Современные операционные системы класса Windows NT и жесткие диски с технологией в стиле S.M.A.R. T поддерживают целый комплекс защитных мер по предотвращению непреднамеренной порчи данных. Слово "непреднамеренной" здесь ключевое. Главный виновник большинства разрушений – сам пользователь. Это он создает рассадник вирусов на компьютере, это он бездумно устанавливает кривой софт откровенно левых производителей, это он манипулирует настройками в которых ни хрена не понимает…
Возможно ли восстановить разрушенные данные? Ну если не все данные, то хотя бы одну курсовую или дипломную работу, потеря которой ставит на вашей дальнейшей карьере жирный крест? Практика показывает, что даже катастрофические разрушения полностью или частично обратимы. Это всего лишь вопрос времени и квалификации (ну, или, в отсутствии квалификации, – денег). Рядовой пользователь способен справиться лишь с наименее тяжкими повреждениями, не затрагивающими ключевых служебных структур. К слову сказать, именно такие разрушения обычно и встречается, поэтому, описываемых здесь приемов восстановления на первых порах будет вполне достаточно.
Только не путайте знание и умение. Навыки восстановления следует приобретать не в боевых условиях на действительно ценных и уникальных данных, а начинать тренировки "на кошках" задолго до этого, экспериментируя с жесткими дисками на которых нет ничего ценного, что было бы жалко потерять. Как говориться, сапер ошибается всего лишь однажды. В восстановлении данных нет четких правил и правильная стратегия поведения наперед неизвестна. Есть много путей, но лишь один из них правильный, а остальные – фатальны. Восстановление данных – это искусство продвижения во мраке с завязанными глазами. Здесь опыт, знания, интуиция и умение "чувствовать" компьютер сливаются воедино. Стать медсестрой может каждая смазливая баба, охотно подставляющая свою попку главврачу, но вот Хирургом быть дано не каждому. Этому нельзя научиться. Это в вас либо есть, либо нет. Задача медицины как науки в первую очередь состоит в том, чтобы низвести мастерство до уровня технологии, т. к. свести интуитивно выполняемую операцию к более или менее постоянной последовательности движений скальпелем, которую может выполнить любая медсестра (не зависимо от того, находится ли у нее что-нибудь в попке или нет).
Кибернетика за последние годы совершила качественный скачек вперед, вложив в руки неквалифицированного пользователя информационный скальпель, но не объяснив как именно им следует пользоваться. Отсюда и повальные харакири безнадежно уничтоженных данных.
Короче говоря, к битве за/против энтропии готовы? Тогда – банзай!

Заметки о восстановлении данных на жестких дисках


крис касперски ака мыщъх noemail

разрушение данных – это самое страшное, что только может случится с вашим компьютером. беда никогда не предупреждает о своем приходе, по закону подлости выпрыгивая именно в тот момент, когда к встрече с ней вы наименее готовы. резервная копия отсутствует или безнадежно устарела, времени на восстановление отпущено в обрез, срывается срочная работа, ко всем чертям летят планы… попробуй тут не запаниковать и, вдавившись в истерику, не начать запускать всех "докторов" по очереди, после "лечения" которых винчестеру уже ничто не поможет…